Aujourd’hui, les grandes entreprises et administrations publiques hésitent entre continuer à utiliser des logiciels propriétaires ou basculer vers les Logiciels Libres. Pourtant, la plupart des logiciels libres sont capables de bien traiter les données issues des logiciels propriétaire, et parfois avec une meilleur compatibilité.
C’est alors la barrière de la prise en main qui fait peur, et pourtant...
Les logiciels libres
L’aspect « Logiciel Libre » permet une évolution rapide et une plus grande participation des utilisateurs. Les aides et tutoriels foisonnent sur Internet ou sont directement inclus dans le logiciel lui-même.
Enfin, les concepteurs sont plus proches des utilisateurs, ce qui rend les logiciels libres plus agréable à utiliser et conviviaux.
Grâce à la disponibilité des logiciels libres, vous trouverez facilement des services de support techniques et la licence n’est plus un frein à l’utilisation de ces logiciels par votre personnel.
Notre support technique concerne essentiellement les logiciels libres, que ce soit sous forme de services ponctuels ou de tutoriels.
- Mars 2015 -
L'installation d'un pare-feu sous pfSense est rapide, c'est ensuite que je perdais du temps.
Mais ça c'était avant ! Voilà une astuce pour reprendre la main sur l'interface web de gestion depuis n'importe quelle patte (interface) du firewall, et en bypassant toutes les règles (rules).
Mais pourquoi ?
Dans cet exemple nous utilisons un pare-feu pfSense pour déclarer un sous-réseau dans un réseau existant. Appelez cela une DMZ, réseau, sous-réseau peu importe. Comprenez juste que la patte WAN sera connecté au LAN de l'entreprise et que l'interface LAN abritera ce sous-réseau :
Oui, je n'avais pas Visio d'installé donc j'ai utilisé ASCIIFlow... ça se voit non ?
Vous venez d'installer un pfSense tout beau tout neuf, il a même chanté au boot et tous vos collègues d'open space se sont retournés. Le bip est heureusement assez court pour que l'on ne vous soupçonne pas, continuons.
Vous allez maintenant configurer la bête from scratch ou importer votre fichier XML maison comportant un socle de configuration. Mais comment atteindre l'interface web ? Sur l'écran vous avez un beau 192.168.1.1 (/24) qui apparaît. Si c'est le même réseau que celui que vous utilisez alors bravo ce tutoriel ne vous servira pas, sauf si l'IP est déjà attribuée !
Dans le cas contraire, voilà la problématique :
- interface WAN : même si vous la mettez en DHCP l'interface web n'est pas accessible puis qu’aucune règle ne l'autorise, aucune règle n'existe d'ailleurs pour le WAN.
- interface LAN : impossible de la configurer en DHCP depuis le menu (VGA / serial), cette option n'existe pas. Dommage non ?
En effet l'ip par défaut 192.168.1.1 implique l'utilisation d'un ordinateur dans le même réseau, avec une IP fixe définie à la mano (192.168.1.2 par exemple). Sans parler du fait qu'il faut trouver un câble croisé pour se brancher en direct, ou un switch volant (oui certains volent) car vous n'allez pas vous brancher sur le LAN de la boite.
Et c'est seulement à ce moment là l'accès à l'interface web est possible. Un peu long, trop long.
Désactiver packet filter
Sur pfSense ce n'est pas iptables mais Packet Filter qui est en charge de la circulation des paquets, ou PF pour les intimes. C'est lui qui nous empêche d'accéder à l'interface web, car tout ce qui n'est pas explicitement autorisé est interdit.
Désactivons PF :
- Connectez-vous sur le port VGA (ou série) pour avoir le menu
- Faire le choix "8) Shell"
- Saisir :
pfctl -d
(d=disable, le tiret en qwerty est sur la touche")" en azerty)
- Faire ENTREE
- Le message suivant apparaît : "pfctl: pf not enabled"
- Entrez l'une des IP dans votre navigateur web pour accéder à l'interface elles sont affichées en haut de l'écran :
Une fois ceci fait vous pouvez enfin ajouter des règles permettant le management, voici celles que je met :
- Firewall > Rules
- Cliquer sur WAN, puis sur l'icône d'ajout d'une règle "+"
- interface : WAN
- protocol : TCP
- source : l'IP ou le réseau de management (le réseau LAN dans notre cas)
- destination : WAN address
- destination port range : 22, 80, 443
- description : gestion admin
Vous devrez ajouter une règle pour chaque port, ou définir un alias de port pour n'avoir qu'une seule règle. Une fois que tout est OK faites "Apply changes", ce qui réactivera PF au passage. Si vos règles sont bonnes alors l'accès à l'interface web fonctionnera.
Attention : PF sera réactivé automatiquement si vous validez un formulaire dans l'interface web, à n'importe quel endroit. Enfin, pour réactiver PF à la main : pfctl -e (pour enable), sinon faites un reboot.
J'utilise beaucoup cette astuce quand je fais tourner un pfSense virtualisé sur mon pc, car n'ayant qu'une seule carte ethernet c'est la seule solution que j'ai trouvé. A part bien sûr configurer les deux cartes réseaux WAN et LAN comme étant sur le même réseau mais ça ne règle pas le problème car il faudra définir une IP fixe sur la carte LAN de toutes façons.
Je ne sais pas si j'ai été clair, c'est un peu long pour une seule ligne de commande, mais autant que vous sachiez à quel point elle peut être utile. J'aurai aimé la découvrir avant, moi aussi !
BM vous parraine en mode Premium chez iGraal.fr : 10 euros offerts à l'inscription :)
Vous devriez me suivre sur Twitter :
@xhark
Article original écrit par Mr Xhark publié sur Blogmotion le 06/03/2015 |
2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons
Vous risquez d'être aussi intéressé par :
Original post of Blogmotion.Votez pour ce billet sur Planet Libre.
